Datenschutz Folgenabschätzung – Einfach erklärt.

Hacker finden – Wissenswertes

 

Datenschutz Folgenabschätzung – Wann muss eine Datenschutz Folgenabschätzung durchgeführt werden?

Seit dem 25. Mai 2018, dem Ablauf der zweijährigen Übergangsfrist zur EU-Datenschutz-Grundverordnung (EU-DSGVO), ist die Datenschutz Folgenabschätzung (DSFA) eine verpflichtende Maßnahme. Ziel der DSGVO ist es, personenbezogene Daten innerhalb der Europäischen Union besser zu schützen und ein einheitliches Datenschutzniveau zu gewährleisten. 

Im Rahmen der DSGVO werden personenbezogene Daten in unterschiedliche Kategorien unterteilt, die jeweils verschiedenen Schutzstufen unterliegen. Besonders sensible personenbezogene Daten, wie zum Beispiel Gesundheitsdaten, biometrische Daten, Daten zur ethnischen Herkunft, Daten zu Vorstrafen oder Daten, die eine eindeutige Identifizierung ermöglichen, erfordern besondere Aufmerksamkeit. 

Wenn die Verarbeitung dieser sensiblen Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen könnte, muss eine Datenschutz Folgenabschätzung (DSFA) durchgeführt werden. Dies gilt insbesondere, wenn neue Technologien zum Einsatz kommen oder wenn die Art, der Umfang, die Umstände und der Zweck der Verarbeitung die Rechte der betroffenen Personen gefährden. 

Die DSFA muss regelmäßig durchgeführt werden und ist nicht nur einmalig anzuwenden. Unternehmen und Organisationen müssen sicherstellen, dass sie alle Risiken in Bezug auf die Verarbeitung personenbezogener Daten genau überprüfen. In der Regel sollte eine Datenschutz Folgenabschätzung mindestens alle drei Jahre wiederholt werden, um neuen Risiken entgegenzuwirken. 

Rechtliche Grundlage der Datenschutz Folgenabschätzung 

Die rechtlichen Grundlagen für die Datenschutz Folgenabschätzung sind im Artikel 35 der EU-DSGVO festgelegt. Laut Artikel 35 Absatz 1 ist eine DSFA erforderlich, wenn durch die Art der Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen entsteht. 

Ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen kann dann vorliegen, wenn diese beispielsweise durch die Datenverarbeitung Diskriminierung, Identitätsdiebstahl, Rufschädigung, finanzielle Verluste oder einen Verlust der Kontrolle über ihre eigenen Daten erleiden könnten. Auch eine Profilbildung oder Standortverfolgung kann als Risiko gewertet werden, das eine DSFA notwendig macht. 

Im Kern handelt es sich bei der Datenschutz Folgenabschätzung um eine strukturierte Risikoanalyse, die vor der Nutzung von personenbezogenen Daten durchgeführt werden muss. Dabei werden die Risiken für die betroffenen Personen genau bewertet und es wird überprüft, welche Maßnahmen erforderlich sind, um diese Risiken zu minimieren. 

Auflagen für Unternehmen 

Unternehmen, die mit besonders sensiblen personenbezogenen Daten umgehen, haben nach Artikel 35 Absatz 5 der EU-DSGVO zudem die Pflicht, eine Dokumentation darüber zu führen, in welchen Fällen eine Datenschutz Folgenabschätzung notwendig ist. Diese Dokumentation dient als Nachweis und hilft dabei, die Anforderungen der DSGVO zu erfüllen. 

Leitlinien, die von der Artikel-29-Gruppe vorgeschlagen wurden

Die Artikel-29-Gruppe setzt sich aus den Aufsichtsbehörden des Datenschutzes aus jeweiligen EU-Mitgliedsstaaten sowie der Europäischen Union selbst zusammen. Sie haben Szenarien entwickelt, in denen die Datenverarbeitung mit einem hohen Risiko für die jeweilige Person behaftet ist. Beispielhaft hierfür sind nachfolgende Verarbeitungstätigkeiten.

SCORING/PROFILING

Dieser Faktor tritt ein, wenn beispielsweise eine Organisation das Nutzerverhalten im Internet untersucht oder über das Internet Nutzerprofile auf Basis der Handlungsweise der Personen erstellt. 

RECHTLICHE KONSEQUENZEN FÜR BETROFFENE DURCH AUTOMATISCHE ENTSCHEIDUNGEN

Dies tritt ein, wenn die automatische Verarbeitung von Daten einen Vertragsabschluss nicht zustande kommen lässt.

SYSTEMATISCHE ÜBERWACHUNG

Dazu sind Verarbeitungsvorgänge zur Beobachtung, Überwachung und Kontrolle über Social Media-Plattformen und andere Netzwerke zu zählen. 

SENSIBLE DATEN NACH ARTIKEL 9, ABSATZ 1

Hierunter fallen beispielsweise Gesundheitsdaten eines Patienten, die durch ein Krankenhaus verarbeitet werden.

DATEN, DIE IN MASSEN VERARBEITET WERDEN

Werden schützenswerte, personenbezogene Daten in einem großen Umfang verarbeitet, werden viele Personen potenziell gefährdet. 

DATEN ZUSAMMENFÜHREN / KOMBINIEREN

Werden personenbezogene Daten aus unterschied­lichen Quellen gewonnen, können durch Zusammenführen dieser Quellen pseudonyme oder anonyme Daten rekonstruiert werden und Personen zugeordnet werden.

DATEN SCHUTZBEDÜRFTIGER PERSONEN

Zu diesen Personengruppen gehören beispielsweise Kinder und psychisch kranke Personen.

EINSATZ NEUER TECHNOLOGIEN

Neue technologische Verfahren wie die biometrische Verarbeitung von Daten durch automatische Gesichtserkennung, können beispielhaft genannt sein.

Sorgt die Datenverarbeitung dafür, dass die betroffene Person ein Recht zum Datenschutz nicht ausüben kann, wird eine Datenschutz Folgenabschätzung empfohlen. Weil wenn zwei der obengenannten Faktoren eintreten (könnten), ist eine DSFA grundsätzlich verpflichtend. Bei Unsicherheit oder Zweifeln sollten sich die mit dem Datenschutz betrauten Personen des Unternehmens die jeweilige Aufsichtsbehörde des Landes kontaktieren.

„Black List“ und „White List“ der Aufsichtsbehörden

Die staatlichen Aufsichtsbehörden haben Listen an Verarbeitungstätigkeiten definiert, aus denen hervorgeht, ob eine DSFA durchgeführt werden muss oder nicht. Dabei stehen die Fälle, für die keine DSFA erstellt werden muss auf der White List, ebenso wie Positivliste genannt. Muss eine DSFA jedoch verpflichtend durchgeführt werden, stehen die Fälle auf der Black List, auch Negativliste genannt. Jedes Bundesland entscheidet selbst, welche Verarbeitungstätigkeiten welcher Liste zugeordnet werden. Daher existieren bundesländerspezifische Unterschiede.

Da bei einer „White List“ keine DSFA zu erstellen oder zu führen ist, sind hier nur die Bereiche der „Black List“ beispielhaft aufgeführt. Die Liste ist nicht abschließend und kann jederzeit durch die Aufsichtsbehörden aktualisiert sein. Deshalb ist die Aufsichtsbehörde für Datenschutz zu konsultieren.

NETZWERKE/PORTALE ·         Soziale Netzwerke·         Dating- und Kontaktportale·         Bewertungsportale 
TRACKING/ANALYSEN ·         Big-Data-Analysen von Kundendaten·         Offline-Tracking von Kundenbewegungen·         Verkehrsstromanalysen·         Erfassung des Kaufverhaltens von Personen durch Profilbildung 
ÜBERPRÜFUNG/ÜBERWACHUNG ·         Überwachung der Messdaten·         RFID-/NFC-Anwendungen durch Apps oder Karten·         Überprüfung der Kreditwürdigkeit (Scoring) durch Auskunfteien, Banken oder Versicherung 
SONSTIGES ·         Anwendung der Telemedizin einschließlich der Anlage einer virtuellen Patientenakte·         Automatisiertes Erstellen von Profilen von Mitarbeitern und Kunden·         Zahlartensteuerung von vielen verschiedenen Personen in großen Mengen 

Die passende Dokumentation hierfür muss den Datenschutzbehörden jeder Zeit ausgehändigt werden können.

Wie wird eine Datenschutz Folgenabschätzung praktisch umgesetzt?

Die Datenschutz-Folgenabschätzung (DSFA) ist ein detaillierter Bericht, der sicherstellen soll, dass die Verarbeitung personenbezogener Daten keine übermäßigen Risiken für die Rechte und Freiheiten der betroffenen Personen darstellt. Um eine DSFA korrekt umzusetzen, sind folgende Schritte erforderlich: 

  • Systematische Beschreibung aller Datenverarbeitungsprozesse 
    Zuerst muss das Unternehmen alle Vorgänge der Datenverarbeitung detailliert und systematisch beschreiben. Dabei ist es besonders wichtig, den Zweck der Verarbeitung klar darzustellen. 
  • Prüfung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung 
    Es muss geprüft werden, ob alle zu verarbeitenden personenbezogenen Daten notwendig und verhältnismäßig sind, um den angegebenen Zweck zu erfüllen. Das bedeutet, dass nur die Daten verarbeitet werden dürfen, die für den jeweiligen Prozess zwingend erforderlich sind. 
  • Analyse und Bewertung der Risiken 
    Das Unternehmen muss mögliche Risiken der Datenverarbeitung für die Rechte und Freiheiten der betroffenen Personen identifizieren und bewerten. Dazu gehört, zu analysieren, welche Gefährdungen (z.B. Identitätsdiebstahl, Diskriminierung) für die betroffenen Personen entstehen könnten. 
  • Definition von Maßnahmen zur Risikominderung 
    Es müssen Maßnahmen definiert werden, die dazu beitragen, die identifizierten Risiken zu minimieren. Diese Maßnahmen können technische, organisatorische oder sicherheitsrelevante Vorkehrungen umfassen, wie etwa die Verschlüsselung von Daten oder die Implementierung zusätzlicher Sicherheitsprotokolle. 
  • Benennung von Restrisiken 
    Falls trotz der getroffenen Maßnahmen Restrisiken bestehen bleiben, müssen diese benannt und dokumentiert werden. Es wird empfohlen, bei schwerwiegenden Risiken die Aufsichtsbehörde für Datenschutz zu konsultieren, um sicherzustellen, dass keine Risiken unbeachtet bleiben. 

Folgen bei Nichtdurchführung oder falscher Umsetzung der DSFA: 
Wenn die DSFA nicht durchgeführt oder nicht korrekt erstellt wird, drohen Strafzahlungen. Diese können bis zu zehn Millionen Euro oder 4 % des Vorjahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Bei Unsicherheiten oder Problemen ist es ratsam, die zuständige Aufsichtsbehörde für Datenschutz zu kontaktieren. 

Abhängig von der Expertise im Unternehmen im Bereich Datenschutz kann es auch sinnvoll sein, einen externen Datenschutzbeauftragten hinzuzuziehen, um die DSFA korrekt und umfassend zu erstellen.